Absenkung von Datenschutzstandards aufgrund einer Einwilligung der betroffenen Person
06.12.2021 | Susanne Stingl
Am 24.11.2021 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch der betroffenen Person.
Bereits vor der Einführung der DSGVO wurde unter Juristen diese Möglichkeit diskutiert. Konkrete Anwendungsfälle waren dabei vor allem der Versand unverschlüsselter Emails durch Berufsgeheimnisträger wie Ärzte oder Rechtsanwälte, insbesondere soweit besonders sensible Daten betroffen sind. Problematisch war es hier eine schnelle und einfache Kommunikation zu ermöglichen. Der Versand verschlüsselter Emails ist in der Regel mit hohem Aufwand verbunden und nicht sehr anwenderfreundlich. Argumentiert wurde damit, dass die betroffene Person auch im Rahmen ihrer Selbstbestimmung auf einen gewissen technischen Standard verzichten könne, wenn sie dies selbst wünscht. Kritisch dabei war stets die Frage, ob betroffene Personen dabei tatsächlich eine bewusste und freiwillige Entscheidung in Kenntnis aller Risiken treffen.
Die DSK hat nun hierzu Stellung genommen und führt folgendes aus:
Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.
Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.
Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.
Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.
Die Beschlüsse der DSK sind nicht bindend, jedoch bieten sie einen guten Überblick über die Rechtsmeinung der Aufsichtsbehörden, an der sie sich bei ihrem Handeln voraussichtlich orientieren werden. Der vorliegende Beschluss wurde von allen Aufsichtsbehörden - mit Ausnahme der sächsischen – mitgetragen.
Nach diesem Beschluss lehnt die DSK ein Absenken der erforderlichen Standards auf Basis einer Einwilligung also grundsätzlich ab. Eine Ausnahme lässt sie nur in Einzelfällen, auf Eigeninitiative der betroffenen Person zu. Hieran sind hohe Anforderungen geknüpft.
Es muss sichergestellt sein, dass die betroffene Person ausreichend informiert ist und sich der Risiken bewusst ist. Zudem ist diese Möglichkeit nicht in Massenverfahren einzusetzen, sondern lediglich im Einzelfall und der Wunsch soll von der betroffenen Person selbst ausgehen. Erforderlich ist weiterhin die entsprechende Dokumentation des Vorgangs. Dies umfasst in der Regel den Nachweis der Informiertheit, welcher durch ein Aufklärungsdokument geführt werden kann, sowie die schriftliche Einwilligung. Dokumentiert werden sollte auch die Eigeninitiative der betroffenen Person. Eine konkludente Einwilligung allein dadurch, dass die Person selbst die Standards unterschreitet und beispielsweise per einfacher Email anfragt, kann nach den Ausführungen der DSK nicht als ausreichend gesehen werden.
Zudem trifft die DSK weitere Einschränkungen, indem sie nicht den vollständigen Verzicht auf entsprechende Maßnahmen als durch Einwilligung abdingbar ansieht, sondern nur ein Verzicht „in vertretbarem Umfang“. Es muss also weiterhin eine Risikoabschätzung durch den Verantwortlichen durchgeführt werden.
Zu beachten ist zudem, dass die betroffene Person eine entsprechende Einwilligung nur für ihre eigenen personenbezogenen Daten erteilen kann. Soweit Daten Dritter betroffen sind, sind diese davon nicht umfasst.
Weiterhin nicht umfasst hiervon sind die Anforderungen an eine Drittlandübermittlung. Dies ist jedoch unschädlich, da die DSGVO selbst im Einzelfall die Möglichkeit einer Übermittlung aufgrund einer ausreichend informierten Einwilligung im Einzelfall vorsieht.
Für die Praxis empfiehlt sich folgendes Vorgehen: Grundsätzlich ist im ersten Schritt zu prüfen, welche Kategorien von Daten verarbeitet werden und welche technisch-organisatorischen Maßnahmen dabei erforderlich sind. Hilfreich ist hierzu die Tabelle zu Schutzklassen und Schutzbedarf der UR. Gerade bei der Verarbeitung wenig sensibler Daten reichen die standardmäßig vorhandenen Maßnahmen oft aus.
Soweit höhere Standards erforderlich sind, sollte zunächst geprüft werden, ob und wie diese umgesetzt werden können. Insbesondere soweit ein Verarbeitungsvorgang regelmäßig erfolgt, ist eine technische Umsetzung zu prüfen. Allein ein erhöhter Arbeitsaufwand oder Kosten bei der Implementierung sind kein ausreichendes Argument, auf technische Standards zu verzichten. Eine Einwilligung sollte nur – wie von der DSK beschrieben – im Ausnahmefall und wenn dies vom Betroffenen gewünscht ist eingeholt und ausreichend dokumentiert werden.
Bei Fragen hierzu können Sie sich gern an uns unter dsb@ur.de wenden.
Quellen:
Beschluss der DSK vom 24.11.2021 – „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“, https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html, Stand: 01.12.2021
Tabelle zu Schutzklassen und Schutzbedarf der UR: https://www.uni-regensburg.de/rechenzentrum/unser-rz/rechtliches/index.html, Stand: 01.12.2021
